Inkrafttreten: Mai 2026 · Letzte Aktualisierung: 3. Juni 2026 · Version: v2.3 (Alternative Domain-Registrar-Optionen aus dem Produkt entfernt; OnlineNIC ist der einzige aktive Registrar. Vorherige v2.2: Sentry/Anthropic/Mistral entfernt; WHM/cPanel, Groq, Grok (xAI) ergänzt; KI-Einwilligungsversion 1.1)
Diese Seite stellt die öffentliche benannte Unterauftragsverarbeiter-Tabelle gemäß DSGVO Art. 28 Abs. 4 und KVKK Art. 8-9 zur Verfügung. Unternehmenskunden mit unterzeichnetem DPA erhalten bei Änderungen eine Vorabkündigungsfrist von 30 Tagen. Region- oder produktspezifische zusätzliche Unterauftragsverarbeiter werden auf Anfrage offengelegt.
1. Benannte Unterauftragsverarbeiter — Vollständige Liste
Die nachstehende Tabelle enthält die Rechtsbezeichnung, Dienstkategorie, Rechtsordnung, die übermittelten Datenkategorien und die nach DSGVO Kapitel V / KVKK Art. 9 angewendeten Übermittlungsgarantien für jeden Drittanbieter, der im Auftrag von RYSTAT (eine Marke von Unifics Limited) personenbezogene Daten verarbeitet:
| Anbieter | Dienst | Rechtsordnung | Datenkategorien | Übermittlungsmechanismus | DPA-Status |
|---|---|---|---|---|---|
| Stripe, Inc. | Zahlungsabwicklung (Karte + SEPA) | USA (DPF-Teilnehmer) | Zahlungs-Metadaten, Kunden-E-Mail, Rechnungs-ID | SCC (2021/914) + EU-US DPF | Aktiv |
| Hetzner Online GmbH | VPS- und Server-Hosting + Besucher-Analytik/Formularübermittlungen veröffentlichter AI-Builder-Sites | Deutschland (EU) | Serverprotokolle, IP-Adresse, Kundenpanel-Metadaten, Besucher-PII veröffentlichter Sites (Formulareinreichungen + Analytics-Beacons) | Intra-EU · entfällt | Aktiv |
| CloudNS Ltd. | Autoritatives DNS-Hosting | Bulgarien (EU) | DNS-Abfragen, Domain-Registrierungsdaten | Intra-EU · entfällt | Aktiv |
| cPanel, L.L.C. (WebPros International) | WHM/cPanel-Hosting-Bedienoberfläche (lizensierte Serversoftware + Lizenzvalidierungstelemetrie) | USA | Lizenzaktivierungs-Metadaten (Server-IP, Lizenzschlüssel), cPanel-Benutzernamen, Veröffentlichungs-Metadaten | SCC (2021/914) + EU-US DPF | Aktiv |
| OnlineNIC, Inc. | Domain-Registrar + SSL-Reseller (Standard-Registrar) | USA | WHOIS-Daten (Name, E-Mail, Adresse, Telefon) | SCC (2021/914) | Aktiv |
| Sectigo Limited | SSL-Zertifizierungsstelle | Vereinigtes Königreich | Domain-Validierungsdaten, Zertifikatsanforderungsdaten | Angemessenheitsbeschluss (UK) | Aktiv |
| GoGetSSL (EnVers Group SIA / DigiCert Ireland Ltd) | SSL-Zertifikatsausstellung + Neuausstellung | Lettland (EU) → Irland (EU) | CSR + Admin-Kontakt-E-Mail + DCV-Einträge | Intra-EU · entfällt (Unterauftragsverarbeiter von DigiCert IE) | Aktiv |
| SmarterTools, Inc. | SmarterMail E-Mail-Serversoftware | USA | E-Mail-Metadaten, Absender-/Empfängeradressen | SCC (2021/914) | Aktiv |
| Hangzhou DeepSeek Artificial Intelligence Co., Ltd. | KI-Inhaltserstellung (Primär — Standardanbieter, AI_PROVIDER=deepseek) | Volksrepublik China | KI-Prompts, Inhaltsanweisungen (können personenbezogene Daten enthalten) | Ausdrückliche Einwilligung · DSGVO Art. 49 Abs. 1 lit. a · KVKK Art. 9/6 | Aktiv (sobald der Nutzer in die KI-Funktionen einwilligt) |
| OpenAI, L.L.C. | KI-Inhaltserstellung (optionale Anbieterauswahl) | USA (DPF-Teilnehmer) | KI-Prompts, Modelleingaben | SCC (2021/914) + EU-US DPF | Reserviert — derzeit nicht aktiv (OPENAI_API_KEY ist in der Produktionsumgebung nicht gesetzt; Aktivierung löst eine Neu-Einwilligung aus) |
| Groq, Inc. | KI-Inhaltserstellung (optionale Anbieterauswahl — Hochgeschwindigkeits-Inference) | USA | KI-Prompts, Modelleingaben | SCC (2021/914) | Reserviert — derzeit nicht aktiv (GROQ_API_KEY ist in der Produktionsumgebung nicht gesetzt; Aktivierung löst eine Neu-Einwilligung aus) |
| X.AI, LLC (Grok) | KI-Inhaltserstellung (optionale Anbieterauswahl) | USA | KI-Prompts, Modelleingaben | SCC (2021/914) | Reserviert — derzeit nicht aktiv (XAI_API_KEY ist in der Produktionsumgebung nicht gesetzt; Aktivierung löst eine Neu-Einwilligung aus) |
Besonderer Hinweis zu DeepSeek (VR China): Diese Übermittlung unterliegt einer Transfer Impact Assessment (TIA) gemäß EDSA-Empfehlung 01/2020 und erfolgt nur, wenn eine ausdrückliche, spezifische Einwilligung gemäß DSGVO Art. 49 Abs. 1 lit. a / KVKK Art. 9/6 eingeholt wurde. Das Mitglied kann seine Einwilligung jederzeit über die Option „KI-Funktionen deaktivieren" in den Kontoeinstellungen widerrufen; der Widerruf wirkt prospektiv. DeepSeek ist derzeit der einzige aktive KI-Anbieter; OpenAI / Groq / X.AI (Grok) sind als Anbieteroptionen im Code vorgesehen, jedoch inaktiv, weil ihre Produktions-API-Schlüssel nicht konfiguriert sind. Eine Aktivierung löst eine Neu-Einwilligung aus.
Wave-B-Korrektur der Offenlegung (23. Mai 2026): Die vorherige Version v2.1 führte Anthropic PBC, Mistral AI SAS und Functional Software (Sentry) als „Aktiv" auf. Keiner dieser Anbieter ist tatsächlich im Code integriert: Anthropic und Mistral fehlen in der KI-Anbieter-Union (src/lib/ai/provider.ts); das Sentry-SDK ist seit dem Wave-24m-Revert (Commit 2112d5a8) ein No-Op-Stub. Zur Vermeidung „irreführender Transparenz" gemäß KVKK Art. 10 + DSGVO Art. 13 wurden diese drei Anbieter aus der Liste entfernt. Bei Wiedereinführung wird die 30-Tage-DPA-Benachrichtigung ausgelöst und durch ein Anheben von legal.ai_features_version eine Neu-Einwilligung verlangt.
2. Kategorische Zusammenfassung und Datenfluss
| Kategorie | Anbieter | Gesamte Rechtsordnungen |
|---|---|---|
| Hosting und Rechenzentrum | Hetzner Online GmbH | EU (DE) |
| DNS und Netzwerk | CloudNS Ltd. | EU (BG) |
| Hosting-Bedienoberfläche | cPanel, L.L.C. (WebPros) | USA (DPF) |
| Zahlung und Abrechnung | Stripe, Inc. | USA (DPF) |
| Domain und SSL (aktiv) | OnlineNIC, Inc. · Sectigo Limited · GoGetSSL (EnVers Group SIA / DigiCert IE) | USA · GB · EU (LV/IE) |
| E-Mail-Infrastruktur | SmarterTools, Inc. | USA |
| Künstliche Intelligenz und Sprachmodelle (aktiv) | Hangzhou DeepSeek AI Co., Ltd. | VR China |
| Künstliche Intelligenz und Sprachmodelle (reserviert, ENV-Schlüssel-gesteuert) | OpenAI · Groq · X.AI (Grok) | USA (DPF / Standard) |
3. Auswahl, Aufsicht und Vertragsgestaltung
Bei der Auswahl von Unterauftragsverarbeitern berücksichtigt RYSTAT die Kriterien Sicherheit, betriebliche Eignung, Datenschutzverpflichtungen und Dienstverfügbarkeit.
- Schriftlicher Vertrag (DSGVO Art. 28 Abs. 4): Bei Tätigkeiten, die die Verarbeitung personenbezogener Daten umfassen, werden mit Unterauftragsverarbeitern schriftliche Auftragsverarbeitungsverträge geschlossen. Unterauftragsverarbeiter werden Datenschutzstandards unterworfen, die mindestens den im Vertrag mit RYSTAT vereinbarten Verpflichtungen entsprechen.
- Übermittlungsgarantien: Bei Unterauftragsverarbeiter-Verhältnissen, die eine Übermittlung personenbezogener Daten außerhalb des EU/EWR beinhalten, kommen EU-Standardvertragsklauseln (SCC) (Kommissionsbeschluss 2021/914) oder gleichwertige geeignete Garantien zur Anwendung.
- Laufende Aufsicht: RYSTAT überwacht die Einhaltung der Datenschutzverpflichtungen durch Unterauftragsverarbeiter mit angemessenen kaufmännischen Anstrengungen.
4. Aktualisierungen und Benachrichtigung
Der Unterauftragsverarbeiter-Rahmen kann in Abhängigkeit von der Dienstarchitektur, dem Standort und den eingesetzten Produkten aktualisiert werden. Aktualisierungen werden auf dieser Seite veröffentlicht.
- Öffentliche Bekanntmachung: Bei Hinzufügung eines neuen Unterauftragsverarbeiters oder bei wesentlichen Änderungen an einem bestehenden Unterauftragsverarbeiter wird diese Seite unter Angabe des Aktualisierungsdatums überarbeitet.
- Individuelle Benachrichtigung für DPA-Kunden (DSGVO Art. 28 Abs. 4): Unternehmenskunden mit einem aktiven Auftragsverarbeitungsvertrag (DPA) werden mindestens 30 Tage im Voraus per E-Mail informiert, wenn ein neuer Unterauftragsverarbeiter hinzugefügt wird oder an einem bestehenden Unterauftragsverarbeiter eine wesentliche Änderung vorgenommen wird, die den Umfang der Datenverarbeitung berührt. Der Kunde behält sich das Recht vor, gegen eine solche Änderung aus einem rechtlich berechtigten Grund Widerspruch einzulegen.
- Informationen, die aus Sicherheitsgründen gesetzlich beschränkt sind, sind von diesem Rahmen ausgenommen.
5. Vorrang und Kollision
Im Falle von Widersprüchen zwischen diesem Dokument und anderen Vertragsunterlagen gilt die folgende Rangfolge:
- Unterzeichneter Unternehmensvertrag, Bestellformular oder Angebotsnachtrag
- Produktspezifische Servicebedingungen
- Acceptable Use Policy (AUP)
- Service Level Agreement (SLA)
- Auftragsverarbeitungsvertrag (DPA) (ausschließlich in Bezug auf Datenverarbeitungsfragen)
- Nutzungsbedingungen
- Datenschutzerklärung
- Rückerstattungsrichtlinie
- Dieser öffentliche Unterauftragsverarbeiter-Rahmen
Unterzeichnete Unternehmensverträge, Bestellformulare oder Angebote haben stets Vorrang vor diesen öffentlichen Dokumenten. Im Kollisionsfall gilt das spezifischste und aktuellste unterzeichnete Dokument.